问题

myssl是常见的SSL/TLS在线免费检测网站。期望能够达到A+级别。

步骤

nignx

worker_processes  auto;http {ssl_session_cache   shared:SSL:10m;ssl_session_timeout 10m;server {listen       443 ssl;server_name  xxxx.xxxx.com;keepalive_timeout   70;ssl_certificate /var/api/xxxx.com_with_chain.crt;ssl_certificate_key  /var/api/xxxx.com_server.key;ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;ssl_prefer_server_ciphers on;add_header Strict-Transport-Security "max-age=31536000";location / {root   html;index  index.html index.htm;}}}

• ssl_prefer_server_ciphers:启用后，加密算法更加偏向使用服务器的加密算法；
• add_header Strict-Transport-Security "max-age=31536000";:启用HSTS，也就是强制使用https进行访问，至少过期时间到之前，都这样。

结果

总结

其实，实现很简单，按照myssl的提示来就可以了。

参考：

• Configuring HTTPS servers